子域名模糊测试赢得35,000美元赏金!

admin 2025年3月17日21:38:58评论8 views字数 2706阅读9分1秒阅读模式
forever young

不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人
01

背景

安全小白团

大家好,我是 HX007,全职漏洞赏金猎人,活跃于 BugCrowd。在这篇文章中,我将叙述我和 Orwa Atyat 如何通过子域名模糊测试和组合多个漏洞,最终实现远程代码执行(RCE),并获得 35,000 美元赏金的故事。

02

漏洞描述

安全小白团

故事开始于 2022 年,当时我在 BugCrowd 上报告了一个私有程序的认证绕过导致 SQL 注入和 RCE 漏洞。漏洞在报告后仅一天就被修复了。

2024 年 3 月,我和 Orwa 决定重新测试我们之前发现的漏洞。我们测试的目标是 admin.Target.com。
我们使用以下命令进行子域名模糊测试:
ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c -t 350 -mc all -fs 0
使用这个命令,我们发现了一个名为 admintest.Target.com 的子域名。
子域名模糊测试赢得35,000美元赏金!
你可以注意到图片中有很多错误,但这很正常,因为你在模糊测试子域名,错误意味着这些子域名不可用。
admintest.Target.com 存在漏洞,因为它与原始子域名 admin.Target.com 使用相同的后端。
03

逐个分析发现的漏洞

安全小白团

1. 认证绕过 & 越权访问
https://admintest.Target.com 重定向到 https://admintest.Target.com/admin/login.aspx。
在阅读一些 JavaScript 文件时,我们发现了一个端点:https://admintest.Target.com/admin/main.aspx。直接在浏览器中打开它会再次重定向到登录页面,但在 Burp 中我们注意到了一些异常。
子域名模糊测试赢得35,000美元赏金!
响应头的 Content-Length 非常大,对于重定向响应来说太大了。
你可以注意到,尽管你被重定向到登录页面,但端点仍然在工作,并且具有完全访问权限。通过删除以下三个标头,我们成功绕过了认证:
子域名模糊测试赢得35,000美元赏金!
1.将 302 Moved Temporarily 改为 200 OK。
2.删除 Location: /admin/Login.aspx?logout=y。
3.删除 HTML 重定向代码。
我们成功实现了完全的认证绕过,并且不仅仅是前端绕过。在深入挖掘后,我们发现了一个 adduser.aspx 端点,它也会重定向到登录页面。使用相同的技巧,我们能够访问该端点并添加一个管理员账户。此外,我们还发现了另一个端点,无需认证即可显示管理员的用户名和密码。
子域名模糊测试赢得35,000美元赏金!
2. SQL 注入
在添加管理员账户后,我们能够直接登录,这比使用上述技巧更方便。我们发现了一个名为 SQLQuery.aspx 的端点,从它的名字你就能猜到它的功能 子域名模糊测试赢得35,000美元赏金!
我们尝试的第一个查询是:Select * from users。我们能够看到所有用户的信息,包括密码、电子邮件和用户名。

子域名模糊测试赢得35,000美元赏金!

3. 远程代码执行

由于数据库是 mssql,我们尝试使用 xp_cmdshell将其升级为 RCE。你可以通过如下链接阅读关于 xp_cmdshell的更多信息:
https://www.mssqltips.com/sqlservertip/1020/enabling-xpcmdshell-in-sql-server/?source=post_page-----daebcb56d9bc---------------------------------------
简单来说,xp_cmdshell允许用户通过 MSSQL 在系统中执行命令。默认情况下它是禁用的,但你可以使用以下命令轻松启用它:
SP_CONFIGURE  "show advanced options",1RECONFIGURESP_CONFIGURE  "xp_cmdshell",1RECONFIGURE
然后执行:xp_cmdshell ‘whoami’,BOOM!RCE 成功!
子域名模糊测试赢得35,000美元赏金!
报告与赏金
我们将所有漏洞汇总到一个报告中,并在另一个端点中发现了另一个 SQL 注入漏洞。最终,我们获得了总计 35,000 美元 的赏金。
04

经验总结

安全小白团

1、始终在 Burp 中检查重定向响应
我和 Orwa 发现了许多类似的认证绕过漏洞。我的第一个赏金就是在 2020 年通过同样的技巧获得的:/admin/admin.php 重定向到 login.php,但在 Burp 中查看响应时,admin.php 仍然正常工作,只是前端重定向!
2、如果你在一个子域名中发现了漏洞并被修复,尝试子域名模糊测试
你可以使用以下方式:
admin-FUZZ.target.com E.G: admin-stg.target.comFUZZ-admin.target.com E.G: cert-admin.target.comadminFUZZ.target.com  E.G: admintest.target.comFUZZadmin.target.com  E.G  testadmin.target.comadmin.FUZZ.target.com E.G: admin.dev.target.com
再次使用命令:
ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c -t 350 -mc all -fs 0-t 表示线程数,不要设置得太高,否则可能会错过许多可用的子域名。这还取决于你的网络速度,我使用的是 VPS,350 对我来说很合适。-mc all 表示匹配所有响应代码,如 200302403,这很重要。
3、在报告之前尝试升级漏洞
尽量将漏洞升级到更高的危害级别,例如从 SQL 注入升级到 RCE。
4、质量胜于数量
当你发现多个漏洞或将漏洞串联在一起时,尽量将它们汇总到一个报告中,这样你会获得更高的赏金 子域名模糊测试赢得35,000美元赏金!
参考
子域名字典: subdomain_megalist.txt
https://github.com/netsecurity-as/subfuz/blob/master/subdomain_megalist.txt
更多字典: SecLists DNS
https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS
参考及来源:

https://medium.com/@HX007/subdomain-fuzzing-worth-35k-bounty-daebcb56d9bc

 

原文始发于微信公众号(安全小白团):子域名模糊测试赢得35,000美元赏金!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月17日21:38:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   子域名模糊测试赢得35,000美元赏金!http://cn-sec.com/archives/3848997.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息